Ernsthafte Bedrohung – gerade auch für kleinere Unternehmen
Weltweit gibt es fast jeden Tag neue Schlagzeilen über Datenschutzverletzungen, Systemhacks oder erpresserische Ransomware-Attacken. Jüngstes Beispiel: die cyberkriminellen Machenschaften der Erpressergruppe „REvil“. Generell haben es die Angreifenden nicht nur auf internationale Konzerne oder große Unternehmen abgesehen. Fakt ist: Viele Hacker verdienen ihren Lebensunterhalt damit, auch kleine und mittlere Unternehmen (KMU) ins Visier zu nehmen.
Cyber-Attacken gefährden die Vertraulichkeit, Integrität und/oder Verfügbarkeit von Unternehmensdaten, Informationssystemen und Netzwerken. Der sogenannte CIA-Dreiklang für Datensicherheit – Confidentiality, Integrity, Availability – wird komplett ausgehebelt. Die möglichen Schäden reichen von finanziellen Verlusten über Reputationseinbußen und behördliche Strafen bis zu Betriebsunterbrechungen und Insolvenzen. Umso wichtiger ist es, dass auch kleine und mittlere Unternehmen sowie Tochtergesellschaften entsprechende Budgets, Sicherheitstools und personelle Ressourcen bereithalten, um den immer größer werdenden Gefahren durch Cyberangriffe zu begegnen.
Systematisches Risikomanagement gefragt
Jede Organisation ist auf das zuverlässige Funktionieren ihrer kritischen Infrastruktur angewiesen. Gerade die zunehmende Komplexität und Konnektivität der Infrastruktursysteme vergrößert jedoch die Angriffsflächen und macht es für Cyberkriminelle leichter, Schwachstellen der Informationssicherheit auszunutzen. Für die Unternehmen ist es daher zunehmend wichtig, einen systematischen Ansatz zur Identifizierung, Bewertung und Priorisierung von Cyberrisiken zu verfolgen. Auf dieser Basis können Kontroll-Mechanismen identifiziert und implementiert werden, mit denen sich das Risikoniveau auf einen akzeptablen Bereich senken lässt.
Diese Kontrollen können – im Fall einer Tochtergesellschaft – über Richtlinien des Konzerns bzw. der übergeordneten Organisation implementiert werden. Eine andere Möglichkeit für KMU sind kundenspezifische Kontrollen basierend auf Best Practices. Das Whitepaper „Information Security Baseline: SME/Subsidiary“ von TÜV Rheinland gibt einen Einblick in die empfohlenen und obligatorischen Informationssicherheits-Kontrollen. Interessierte Unternehmen erfahren, welche Maßnahmen speziell KMU und Tochtergesellschaften implementieren können, um letztlich die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) ihrer kritischen Systemressourcen zu gewährleisten.
Empfohlene und obligatorische Cybersecurity-Kontrollen
Die vorgeschlagenen Baseline-Kontrollen gelten für alle Mitarbeitenden eines Unternehmens, für Auftragnehmer*innen ebenso wie für Unterauftragnehmer*innen und deren jeweilige Einrichtungen, die den Geschäftsbetrieb der Konzernorganisation unterstützen. Sie sind überall dort relevant, wo Konzerndaten gespeichert oder verarbeitet werden und betreffen auch Dritte, die von der Konzernorganisation bzw. ihrer Tochtergesellschaft mit der Handhabung, Verarbeitung, Übertragung, Speicherung oder Entsorgung von Konzerndaten beauftragt wurden.
Verpflichtende Kontrollen
- Obligatorische Kontrollen bilden die Informationssicherheits-Basis für die gesamte Community und müssen von allen Tochtergesellschaften in ihrer lokalen, dezentralen und/oder Cloud-Infrastruktur implementiert werden. Um ein realistisches Ziel für einen kurzfristigen, greifbaren Sicherheitsgewinn zu setzen, haben wir insgesamt 15 obligatorische Kontrollen in den Bereichen Management, Technik und Operatives Geschäft priorisiert.
Empfohlenen Kontrollen
- Die 14 empfohlenen Kontrollen basieren auf bewährten Methoden, die die Tochtergesellschaften zusätzlich implementieren können, um ihre Informationssicherheits-Standards zu verbessern. Im Laufe der Zeit ändern sich aufgrund neuer Bedrohungen möglicherweise auch die Anforderungen an die Maßnahmen – und einige empfohlene Kontrollen können obligatorisch werden.
Whitepaper zum Download
Weitere detaillierte Informationen zu den aufgeführten Kontrollmaßnahmen finden Sie im Whitepaper „Information Security Baseline: SME/Subsidiary”.
Autor des Beitrags

ANAND RABINDRANATH
SENIOR INFORMATION SECURITY SPECIALIST
Anand Rabindranath ist Senior Information Security Specialist bei TÜV Rheinland in Muscat, Oman. Er besitzt mehr als zehn Jahre Berufserfahrung in den Bereichen IT-Sicherheit, Audit, Risiko- und Compliance-Management. Unter anderem unterstützt er globale Unternehmen bei der Implementierung von Informationssicherheits-Managementsystemen und bei der Schulung interner User zu Themen der Computersicherheit. So sind sie besser in der Lage, IT-Sicherheitsverletzungen zu vermeiden und auf Cyberangriffe zu reagieren.
Meist gelesene Beiträge
Ein Tag mit dem Wasserstoffauto
Sicherheits-Check für Industrie-Roboter
Kommentare
0 Kommentare